Sistema de información Schengen (SIS)

La libre circulación de personas es un derecho fundamental que la UE garantiza a todos sus ciudadanos. Con este derecho, todos los ciudadanos de la UE pueden viajar, vivir y trabajar en cualquier país de la UE sin necesidad de cumplir requisitos especiales.

Mediante la cooperación Schengen se facilita esa libertad posibilitando que los ciudadanos crucen las fronteras internas sin tener que someterse a controles fronterizos. El espacio Schengen sin fronteras asegura la libre circulación a más de 400 millones de ciudadanos de la UE, además de a otros ciudadanos, turistas, empresarios u otras personas que no son ciudadanos de la UE pero se encuentran legalmente presentes en su territorio.

Actualmente, el Área Schengen incluye a la mayoría de los Estados de la UE, excepto Bulgaria, Croacia, Chipre, Irlanda, Rumania y el Reino Unido. Sin embargo, Bulgaria y Rumanía actualmente se encuentran en proceso de incorporarse al espacio Schengen.

También hay Estados no pertenecientes a la UE que se han unido al espacio Schengen, como Noruega, Islandia, Liechtenstein y Suiza.

Las disposiciones de Schengen eliminan los controles en las fronteras internas de la Unión, al tiempo que ajustan los controles en las fronteras exteriores, de conformidad con un único conjunto de normas.

En este espacio Schengen se ha creado un sistema de información de segunda generación (SIS II) que vamos a analizar a continuación.

¿Qué es el Sistema de Información Schengen?

El Sistema de Información de Schengen (SIS) es el sistema de intercambio de información más utilizado y más grande para la seguridad y la gestión de fronteras en Europa.

El SIS permite a las autoridades nacionales competentes, como la policía y los guardias de fronteras, ingresar y consultar alertas sobre personas u objetos. SIS está en funcionamiento en 30 países europeos, incluidos 26 Estados miembros de la UE (solo Irlanda y Chipre aún no están conectados al SIS) y 4 países asociados a Schengen (Suiza, Noruega, Liechtenstein e Islandia).

Estados miembros de la UE con acuerdos especiales:

• Bulgaria, Rumanía y Croacia aún no forman parte del área sin controles fronterizos internos (el ‘área Schengen’). Sin embargo, desde agosto de 2018, Bulgaria y Rumania comenzaron a usar completamente SIS. Todavía se requiere una Decisión del Consejo para levantar los controles en las fronteras internas de estos dos Estados miembros. En el caso de Croacia, todavía existen algunas restricciones con respecto al uso de alertas SIS en todo Schengen con el propósito de rechazar la entrada o permanencia en el área Schengen. Esas restricciones quedarán sin efecto en el momento en que Croacia pase a formar parte del área sin controles fronterizos internos.
• El Reino Unido utiliza SIS pero no tiene la opción de enviar ni acceder a alertas de todo Schengen por negarse a formar parte del área Schengen.
• Irlanda y Chipre aún no están conectados al SIS. Irlanda está llevando a cabo actividades preparatorias para conectarse al SIS, pero, como es el caso del Reino Unido, no podrá emitir ni acceder a alertas de todo Schengen por negarse a entrar o quedarse. Chipre tiene una excepción temporal para unirse al área Schengen y aún no está conectado al SIS.

Una alerta SIS además de incluir información sobre una persona u objeto en particular, contiene instrucciones dirigidas a las autoridades indicándoles lo que deben hacer si encuentran a la persona u objeto. Las oficinas nacionales SIRENE situadas en cada país participante son los puntos de contacto únicos para intercambiar información complementaria y coordinar las actividades vinculadas a las alertas SIS.

¿En qué consiste el Schengen de segunda generación?

El 9 de abril de 2013 entró en funcionamiento un sistema más actualizado, llamado SIS II, que ofrece funcionalidades adicionales.

Una autoridad designada en cada país participante tiene la responsabilidad del funcionamiento de su sección del SIS. La Oficina N-SIS II (Ministerio del Interior, Subsecretaría de Estado para Registros de Datos, Departamento de Asuntos Schengen y Gestión de Usuarios) supervisa las actividades de procesamiento de datos y debe asegurarse de que dichos datos se limiten a uno de los propósitos definidos por el SIS, como como control fronterizo, seguridad nacional o aplicación de la ley.

Si la información relevante necesita ser transferida a través del sistema, otra autoridad actúa como el intercambio de la red central, SIRENE (Solicitud de información suplementaria en la entrada nacional) entre el estado y otros países cooperantes.

En junio de 2018, los colegisladores llegaron a un acuerdo político sobre el nuevo paquete SIS. Las nuevas funcionalidades en SIS se implementarán en diferentes etapas, con el requisito de que el trabajo se complete para 2021.

Los cambios implicarán mejoras en las siguientes áreas:

• Biometría: SIS contendrá huellas de palmas, huellas digitales, imágenes faciales y ADN de, por ejemplo, personas desaparecidas para confirmar su identidad.
• Lucha contra el terrorismo: se compartirá más información sobre las personas y los objetos involucrados en actividades relacionadas con el terrorismo, lo que permitirá a las autoridades de los Estados miembros perseguir y prevenir mejor los delitos graves y el terrorismo.
• Personas vulnerables: las autoridades competentes tendrán la posibilidad de ingresar alertas preventivas en el sistema para proteger ciertas categorías de personas vulnerables (personas desaparecidas, niños en riesgo de secuestro o posibles víctimas de trata de seres humanos o violencia de género).
• Migración irregular: las decisiones de retorno y las prohibiciones de entrada serán parte de la información compartida en el sistema para mejorar su aplicación efectiva.
• Acceso mejorado para las agencias de la UE: Europol ahora tendrá acceso a todas las categorías de alertas en el SIS, mientras que los equipos operativos de la Agencia Europea de la Guardia de Fronteras y Costas podrán acceder al SIS con el fin de llevar a cabo sus tareas en los puntos críticos.

Además, la introducción desde marzo de 2018 de un AFIS (Sistema Automático de Identificación de Huellas Digitales) en SIS, y la posibilidad resultante de realizar búsquedas utilizando huellas digitales, hace que sea aún más difícil para los delincuentes pasar desapercibidos en Europa.

¿Cómo funciona el SIS II?

La composición de SIS II es:

• sistema central («SIS II central»)
• sistema nacional en cada Estado miembro
• infraestructura de comunicación entre el sistema central y los sistemas nacionales formada por una red a dedicada a los datos del SIS II y al intercambio de datos entre los servicios nacionales con responsabilidad para intercambiar toda la información suplementaria (llamados servicios SIRENE).

La introducción, modificación, supresión y consulta de datos del SIS II se realiza a través de los distintos sistemas nacionales. El sistema central, con funciones de supervisión técnica y de administración, se encuentra en Estrasburgo (Francia).

Corresponde a cada Estado miembro la creación, la puesta en marcha y el mantenimiento de su propio sistema nacional y de la vinculación de éste al sistema central. Cada Estado miembro nombra una autoridad, la oficina SIS II nacional, a la que se atribuye la responsabilidad central sobre su proyecto SIS II nacional.

Cada Estado miembro nombra también su servicio nacional SIRENE. La información complementaria del SIS II será notificada de acuerdo con las reglas recogidas en un manual llamado Manual SIRENE a través de la infraestructura de comunicación.

Cada Estado miembro es responsable de cualquier daño producido a una persona al usar su sistema nacional SIS II. Y se asegurarán de que la utilización inadecuada de los datos del SIS II o intercambio de información complementaria que vulnere la normativa sea objeto de sanciones proporcionadas, eficaces y adecuadas.

¿Qué datos se pueden consultar?

El tipo de datos personales almacenados en el Sistema de Información de Schengen está definido por el Reglamento (CE) 1987/2006 del Parlamento Europeo y del Consejo, de 20 de diciembre de 2006, sobre el establecimiento, operación y uso del Sistema de Información de Schengen de segunda generación, y se recopila de conformidad con las leyes pertinentes de los Estados miembros.

Los estados participantes solo pueden recopilar y consultar datos sobre:

• personas buscadas para arresto en proceso de entrega o extradición
• no nacionales para quienes se ha emitido una alerta con el fin de denegar la entrada al espacio Schengen
• personas desaparecidas, personas que necesitan ser puestas bajo protección
• testigos o personas convocadas para comparecer ante las autoridades judiciales en relación con un asunto penal, o aquellos a quienes se les debe emitir un juicio penal o una pena privativa de libertad
• personas bajo vigilancia discreta o controles específicos
• documentos, vehículos y otros objetos especificados en la legislación (armas de fuego, botes y documentos de identidad), que deben ser incautados o utilizados como evidencia

Personas

Respecto a los datos referidos a personas, en el SIS II se pueden recopilar datos de identificación personal, como nombre, direcciones, DNI, domicilio o teléfonos y fotografías. También se recogen datos biométricos, como huellas dactilares.

En el SIS no pueden recogerse datos personales referidos a los antecedentes raciales, políticos, religiosos u otras creencias, estado de salud o vida sexual.

Objetos

Respecto a los objetos, los datos que pueden consultarse en SIS II son los referidos a vehículos, armas de fuego, cheques o documentos bancarios, aviones, embarcaciones, motores de embarcaciones, contenedores, equipos industriales, valores y medios de pago.

¿Quién puede acceder a los datos del SIS?

Cada estado miembro presenta una lista de instituciones competentes que están autorizadas para usar los datos almacenados en el SIS a un comité ejecutivo de la Comisión de la UE. Una variedad de autoridades aprobadas pueden acceder localmente al sistema. El acceso es instantáneo y directo.

La policía, por ejemplo, puede obtener información del SIS con el fin de proteger el orden legal, la seguridad nacional o durante el curso de una investigación penal.

Se puede acceder a los datos que pertenecen a una denegación de entrada en la zona de Shengen, así como a tipos específicos de bienes perdidos, robados o malversados ​​por las siguientes autoridades:

• responsables de emitir visas
• responsables de examinar las solicitudes de visa
• competentes para emitir permisos de residencia
• encargadas de la administración de la legislación sobre extranjeros

Las instituciones en los Estados miembros que son responsables de la emisión de certificados de registro de vehículos también pueden tener acceso a datos sobre certificados y placas de registro de vehículos robados, malversados ​​o invalidados.

Marco legal

El marco legal en el que se fundamenta el SIS II lo forman la Decisión 2007/533/JAI y el Reglamento 1987/2006. Ambas normas tienen una serie de elementos comunes completados con una serie de normas específicas que regulan la utilización del sistema en el ámbito concreto de competencias cada uno de los instrumentos.

El Reglamento sobre el SIS II es la base jurídica que regula el sistema respecto a los procedimientos de descripción recogidos en el Título IV del Tratado constitutivo de la Comunidad Europea.

Las disposiciones específicas de la Decisión del SIS II recogen la utilización del sistema para cumplir los objetivos establecidos en el Título VI del Tratado de la Unión Europea.

La Decisión recoge las clases de datos (descripciones de personas y objetos) que se incorporarán al sistema para apoyar la cooperación operativa entre autoridades policiales y judiciales en materia penal, los fines para los que se incorporarán, los criterios de introducción y tratamiento, y las autoridades con derecho de acceso a ellos. También se incluyen disposiciones específicas sobre el tratamiento y protección de estas categorías de datos.

Sistema Schengen y protección de datos

El Reglamento SIS establece que será aplicable el RGPD en cuanto a la protección de los datos personales incluidos en este sistema. En los casos en los que el tratamiento tenga la finalidad de prevenir, investigar o enjuiciar delitos o ejecutar sanciones penales, se aplicará la Directiva 2016/680.

Los titulares de esos datos pueden ejercer sus derechos de acceso, rectificación, cancelación, oposición, limitación del tratamiento y portabilidad.

Los Estados miembros pueden mantener la información personal, respetando los derechos e intereses legítimos de los afectados, con las siguientes finalidades:

• impedir la obstaculización de procedimientos de instrucción, investigaciones o procedimientos judiciales o administrativos.
• garantizar la prevención, detección, investigación o enjuiciamiento de delitos o la ejecución de sanciones penales.
• proteger la seguridad pública y la seguridad nacional.
• proteger los derechos y libertades de otras personas.

Gestión de incidencias de seguridad

Si se produce un suceso que pueda afectar a la seguridad del SIS causando pérdida de datos o daños en los mismos, será considerado como un incidente de seguridad. Sobre todo si se produce un acceso indebido a los datos o se pone en peligro la confidencialidad, disponibilidad o integridad de estos.

Las autoridades darán una respuesta efectiva y rápida a esos incidentes de seguridad.

Como establece el RGPD, será necesario comunicar esas violaciones de seguridad a la Comisión, a eu-LISA, a la autoridad de control competente y al Supervisor Europeo de Protección de Datos. Los obligados a realizar esa notificación son los Estados miembros, Eurojust, la Agencia Europea de la Guardia de Fronteras y Costas y Europol.

Plazo de conservación de datos

En el Reglamento del SIS se establece que los datos personales recopilados serán conservados únicamente el tiempo necesario para cumplir los fines para los que se han recogido. Estos plazos pueden ser de un año hasta cinco años, según el tipo de datos.

No obstante, un Estado miembro podrá decidir conservar esos datos durante más de cinco años, siempre que sea proporcionado y necesario para los fines previstos.

Cuando la oficina SIRENE ve que los datos de una persona ya han cumplido los fines establecidos, lo notificará a la autoridad que los haya recogido para que proceda a su supresión. Esta autoridad dispone de quince días para suprimirlos o justificar su conservación.

Papel de las autoridades de control

En España, la AEPD tiene la competencia para garantizar que el tratamiento de datos personales en el SIS cumpla la normativa y exige una auditoría cada cuatro años para garantizar ese cumplimiento.

También se establece que el Supervisor europeo de Protección de datos, junto con la autoridad de control, tendrá las siguientes competencias:

• intercambio de información relevante
• cooperación en la realización de inspecciones y auditorías
• examen de las dificultades de interpretación y aplicación del RSIS
• estudio de los problemas planteados en el ejercicio del control independiente o al ejercer sus derechos los interesados
• elaborar propuestas armonizadas para establecer una solución común a los problemas
• impulsar el conocimiento de los derechos en materia de protección de datos.

Derecho de acceso, rectificación y supresión de los ciudadanos

Cualquier solicitud de acceso debe presentarse por escrito al responsable del fichero. Para ello, los interesados tendrán que remitir una solicitud al responsable del tratamiento por cualquier medio a través del que pueda justificarse ese envío y su recepción usando un formulario previsto para ello.

En esa solicitud se incluirá una descripción completa de la solicitud, acompañada de una fotocopia del DNI o pasaporte. Además, los interesados añadirán copias de todos los documentos pertinentes que consideren importantes para apoyar su petición.

El procedimiento es gratuito.

Las solicitudes se remitirán a:

Ministerio del Interior
Dirección General de la Policía
División de Cooperación Internacional – Oficina SIRENE
C/ Julián Gonzalez Segador s/n; 28043 MADRID

Responsabilidades de los países de la zona Schengen

Cada Estado miembro de la zona Schengen es responsable de:

• crear, tratar y mantener su SIS II y su conexión con el sistema central
• nombrar una autoridad para la oficina nacional del SIS II con responsabilidad central de su proyecto nacional de SIS II y para un funcionamiento correcto y seguro de su sistema nacional
• nombrar una autoridad nacional, la Oficina SIRENE, que asegure el intercambio de información complementaria
• asegurar la veracidad, exactitud y legalidad de los datos incluidos en el SIS II
• establecer un plan de seguridad para proteger los datos y prevenir accesos no autorizados
• aplicar sus normas de secreto profesional y confidencialidad
• garantizar que todas las autoridades a las que se permite el acceso a los datos del SIS II cumplan con el Reglamento y con la Decisión
• ofrecer una formación apropiada al personal en materia de protección de datos y normas de seguridad
• asegurar que los usos ilícitos de los datos del SIS II y el intercambio inadecuado de información complementaria sean objeto de sanciones efectivas, proporcionadas y disuasorias.

La autoridad de gestión (eu-LISA) se encarga de:

• la gestión operativa del SIS II Central para que funcione todos los días del año
• la infraestructura de comunicación
• aplicar las reglas relativas a la confidencialidad y secreto profesional
• registrar todo acceso a los datos personales y los intercambios de los mismos
• crear los procedimientos de supervisión del SIS II sobre resultados, rentabilidad, seguridad y calidad del servicio
• publicar informes anuales relativos a las clases de datos y la frecuencia de acceso al SIS II por los Estados miembros de la UE.